Risposte:
dig [zone] dnskey
Ciò ti mostrerà se nella zona è presente il RRKEY DNS richiesto per la convalida dei RRset nella zona.
Se vuoi vedere se il tuo server ricorsivo sta convalidando la zona,
dig +dnssec [zone] dnskey
Ciò imposterà il bit DO (dnssec OK) sulla query in uscita e farà sì che il risolutore a monte imposti il bit AD (dati autenticati) sul pacchetto di ritorno se i dati sono convalidati e forniranno anche i relativi RRSIG (se la zona in la domanda è firmata) anche se non è in grado di convalidare la risposta.
Potresti dare un'occhiata all'ultimo gruppo di diapositive nella mia presentazione "DNSSEC in 6 minuti" (molte informazioni sul debug di DNSSEC). Quella presentazione è un po 'lunga per l'implementazione di DNSSEC (dovresti davvero guardare BIND 9.7 per le cose buone), ma il debugging è cambiato poco.
C'è anche una presentazione che ho tenuto a NANOG 50 sulla distribuzione DNSSEC di BIND 9.7 .
Non credo che sia attualmente mostrato nel browser.
C'è un'estensione per Firefox che potrebbe fare quello che vuoi:
in alternativa, forse uno di questi strumenti?
Sul terminale: scavare tunnelix.com + dnssec
È necessario trovare la RRSIG (RRset Signature) che punta a una firma DNSSEC.
Risposta da Esempio1: tunnelix.com. 300 IN RRSIG A 13 2 300 20190515200903 20190513180903 34505 tunnelix.com. Bqc6weQYQyCi8rB3wmYxMxDqlkpOzt2wWTMC58QGy6BbX8y + jWxDIFwH DUCJ2Gy0dLFLPDNfVdZ9RmPRlbNvQw ==
Altrimenti, convalida il tuo DNSSEC tramite il correttore DNSSEC online gratuito. https://dnssec-debugger.verisignlabs.com
Per ulteriori informazioni, consultare questi collegamenti che potrebbero essere utili: